Orkelia ← Retour

Data Processing Agreement (DPA)

Accord de traitement des données — Conforme RGPD (UE 2016/679)

Critique pour le secteur santé · Fourni à la signature

1. Parties

2. Objet et périmètre

Dans le cadre de l'exécution des services Orkelia, le Sous-traitant (Orkelia) est amené à traiter des données personnelles pour le compte du Responsable du traitement (le Client).

Le présent accord définit les conditions dans lesquelles Orkelia traite ces données conformément à l'article 28 du RGPD.

3. Nature des données traitées

Catégorie	Nature	Qualification RGPD
Identité patients	Nom, prénom, téléphone (pour prise de RDV)	Donnée ordinaire
Métadonnées opérationnelles	Date/heure de contact, statut de la demande	Donnée ordinaire
Communications	Messages entrants/sortants des agents IA	Donnée ordinaire

4. Obligations d'Orkelia (sous-traitant)

• Traiter les données uniquement sur instruction documentée du Responsable du traitement
• Garantir la confidentialité des données (accord de confidentialité avec les collaborateurs)
• Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (Article 32 RGPD)
• Ne pas recruter d'autres sous-traitants sans information préalable du Responsable
• Assister le Responsable dans l'exercice des droits des personnes concernées
• Notifier tout incident de sécurité sous 72 heures
• Supprimer ou restituer les données à l'issue du contrat
• Fournir toute information nécessaire aux audits du Responsable

5. Mesures de sécurité (Article 32 RGPD)

• Chiffrement TLS 1.3 en transit sur toutes les communications
• Chiffrement AES-256 au repos (Supabase, région eu-west-3 Paris)
• Isolation des données par clinique via Row Level Security (Supabase)
• Authentification à facteurs multiples pour l'accès aux systèmes de production
• Clés API et secrets stockés en variables d'environnement côté serveur (non exposés)
• Journalisation des accès aux données de production
• Revue de sécurité trimestrielle

6. Sous-traitants ultérieurs

Orkelia fait appel aux sous-traitants suivants, acceptés par le Client à la signature :

Sous-traitant	Usage	Pays	Garantie
Supabase Inc.	Base de données	UE (Paris)	RGPD natif
Vercel Inc.	Hébergement application	USA/UE	CCT (SCC)
Anthropic PBC	Moteur IA (Claude)	USA	CCT · Zero Data Retention
Stripe Inc.	Paiement (données financières)	USA	PCI-DSS L1
Resend Inc.	Emails transactionnels	USA	CCT

CCT = Clauses Contractuelles Types approuvées par la Commission Européenne.

7. Transferts hors UE

Certains sous-traitants (Vercel, Anthropic, Stripe, Resend) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) conformément aux décisions de la Commission Européenne.

Concernant Anthropic : la politique "Zero Data Retention" est activée — les données soumises aux modèles ne sont pas conservées pour l'entraînement.

8. Durée et fin de traitement

Le présent accord prend effet à la date de souscription du contrat Orkelia et prend fin à la résiliation de ce dernier.

À l'issue du contrat, Orkelia s'engage à :

• Supprimer les données dans un délai de 90 jours
• Fournir une attestation de suppression sur demande
• Permettre l'export des données avant suppression (format CSV/JSON)

9. Notification d'incident

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, Orkelia notifie le Responsable du traitement dans un délai de 72 heures via l'email enregistré au contrat.

La notification inclut : nature de l'incident, données concernées, mesures prises, contact du point de référence.

10. Demande de DPA signé

Pour obtenir une version PDF du présent accord, pré-remplie et signée par Orkelia :

Demander le DPA signé →